Jackson County paid $400,000 to crooks after ransomare attack 조지아 주 잭슨 카운티(Jackson County)의 컴퓨터들이 공격을 받아 정부 업무가 마비되는 사건이 발생했습니다. 이 컴퓨터들은 랜섬웨어에 감염된 것으로 나타났으며, 해당 기관은 파일을 복호화 하기 위해 $400,000 상당의 랜섬머니를 지불하기로 결정했습니다. 잭슨 카운티 측은 공격이 처음 발생한지 일주일 만에 컴퓨터와 서버를 모두 복호화 하는 작업 중이라고 밝혔습니다. 응급 및 이메일 서비스를 포함한 잭슨 카운티 내 모든 부서의 컴퓨터들이 이 악성코드에 감염되었으며, 911 운영 시스템만 영향을 받지 않았습니다. 잭슨 카운티 측은 업무는 정상적으로 진행되고 있으나, 현재 이메일 서비스가..

국내외 보안동향 2019. 3. 11. 09:44

안녕하세요? 이스트시큐리티입니다. 최근 노스캐롤라이 주 잭슨빌에 위치한 수도사업소에 랜섬웨어 공격이 발생하여 시스템 운영이 마비되었습니다. 이 공격에 사용된 악성코드는 Ryuk 랜섬웨어로 밝혀졌습니다. 해당 랜섬웨어는 올해 초 유포되었던 Hermes 랜섬웨어의 변종으로 많은 유사성을 가집니다. 따라서, 본 보고서에서는 Ryuk 랜섬웨어의 악성 행위와 이를 예방하기 위한 방법에 대해 적고자 합니다. 악성코드 상세 분석 1. 프로세스 인젝션 사용자로부터 감염 사실을 은폐하기 위해 실행 중인 프로세스 중 임의로 선택하여 파일 암호화를 수행하는 코드를 인젝션합니다. 이 과정에서 ‘csrss.exe’, ‘explorer.exe’, ‘lsaas.exe’는 제외됩니다. 이는 시스템 안정성과 인젝션을 통한 탐지를 우회..

악성코드 분석 리포트 2018. 10. 23. 17:57

안녕하세요? 이스트시큐리티입니다. 2018년 1분기에 '알약 랜섬웨어 행위기반 차단 기능'을 통해 차단된 랜섬웨어 공격 건수는 총 331,042건이었습니다. 이를 환산하면 최소 월 평균 110,348 건의 랜섬웨어 공격이 감지되었으며, 하루 평균 3,679건의 공격이 발생했다고 할 수 있습니다. 특히, 해당 통계는 알약 공개용 사용자 대상으로만 집계된 행위기반 차단 수치이므로 패턴기반 공격까지 포함하면 실제 랜섬웨어 공격 수는 훨씬 높을 것으로 예상됩니다. 2017년 4분기에 비트코인을 위시한 암호화폐가 시장에서 큰 관심을 받고 전세계적으로 그 가치가 폭등했습니다. 이에 따라 암호화폐 채굴을 노린 CoinMiner(코인마이너) 류의 악성코드의 유포가 증가하면서 랜섬웨어의 유포 건 수가 기존에 비해 소폭 ..

전문가 기고 2018. 4. 24. 14:38

안녕하세요? 이스트시큐리티입니다. 이번에 등장한 랜섬웨어는 ‘Hermes’ 2.0 버전으로 기존 ‘Hermes’ 랜섬웨어의 변종입니다. 랜섬웨어 특성에 따라 악성코드 제작자는 사용자의 중요 파일을 암호화한 뒤 복호화 대가로 비트코인 결제를 유도하여 금전적인 이득을 취합니다. 기존 버전에서 파일 암호화가 진행된 이후‘.hermes’확장자를 추가하던 것과 달리 별도의 확장자를 추가하지 않는 것이 특징입니다. 또한 암호화 대상 확장자에는 ‘.hwp’가 포함되어 있어 국내 사용자들의 피해가 우려됩니다. 본 분석 보고서에서는 ‘Heremes’ 2.0 랜섬웨어를 상세 분석 하고자 합니다. 악성코드 상세 분석 1) 안티 디버깅 Hermes 랜섬웨어는 정상적인 디버깅을 방해하기 위하여 프로세스 실행 시간을 이용한 안티..

악성코드 분석 리포트 2018. 2. 21. 15:28